Linux和Windows应急响应流程

Linux和Windows应急响应流程

一、Linux应急响应
主要流程步骤：
①识别现象-> 从客户场景的主机异常现象出发，先识别出病毒的可疑现象
②清除病毒-> 然后定位到具体的病毒进程以及病毒文件，进行清除
③闭环兜底-> 病毒一般会通过一些自启动项及守护程序进行重复感染，所以我们要执行闭环兜底确保病毒不再被创建
④系统加固-> 将主机上的病毒项清除干净后，最后就是进行系统加固了，防止病毒从Web再次入侵进来。
具体实施过程：
1、识别现象：
通过系统运行状态、安全设备告警，发现主机异常现象，以及确认病毒的可疑行为。
系统CPU是否异常：CPU占用率超过70%的可疑进程就是挖矿病毒。
是否存在可疑进程：病毒一般都携带可疑的命令行
安全网关有无报警：
有无可疑历史命令：遍历主机历史命令，查找有无恶意命令：history
2、清除病毒：
根据进程信息，定位到病毒进程或病毒文件实现清除。
清除可疑进程的进程链：
ps -elf | grep [pid]
kill -9 [pid]
删除病毒文件
定位病毒进程对应的文件路径：
ls -al /proc/[pid]/exe
rm -f [exe_path]
3、闭环兜底
检查是否存在可疑定时任务
枚举定时任务：
crontab -l
查看anacron异步定时任务：
cat /etc/anacrontab
检查是否存在可疑服务
枚举主机所有服务，查看是否有恶意服务：
service --status-all
检查系统文件是否被劫持
枚举系统文件夹的文件，按修改事件排序查看7天内被修改过的文件：
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la
检查是否存在病毒守护进程
监控守护进程的行为：
lsof -p [pid]
扫描是否存在恶意驱动：
枚举/扫描系统驱动：lsmod
使用chkrootkit 进行扫描：
4、系统加固
Linux平台下90%的病毒是通过网络传播感染的，所以，主机之所以会感染病毒，大部分原因也是因为Web安全防护不够。
修改SSH弱密码：
**添加命令审计：**为历史的命令增加登录的IP地址、执行命令时间等信息:
打上常见Web漏洞补丁
******Linux平台下的恶意软件威胁以僵尸网络蠕虫和挖矿病毒为主，由于Linux大多作为服务器暴露在公网，且Web应用的漏洞层出不穷，所以很容易被大范围入侵，如常见的病毒：DDG、systemdMiner、BillGates、watchdogs、XorDDos，在很多Linux上都有。大家要养成不使用弱密码、勤打补丁的好习惯。

二、windows应急响应
常见的应急响应事件分类：
Web入侵：网页挂马，主页篡改，webshell
系统入侵：病毒木马，勒索软件，远控后门
网络攻击：DDOS攻击，DNS劫持，ARP欺骗
入侵排查思路
一、检查系统账号安全
1、检查服务器是否有弱口令，远程管理端口是否公网开放。（咨询相关服务管理员)
2、查看服务器是否存在可疑账号、新增账号。如有则立即删除或禁用。
Win+R 打开运行，输入lusrmgr.msc命令查看

3、查看服务器是否存在隐藏账号、克隆账号
①打开注册表查看管理员对应键值②使用D盾查杀工具进行检测
4、查看日志，是否存在异常用户及登陆
Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。

二、检查异常端口、进程
1、检查端口连接情况，是否有远程连接、可疑连接

a、查看端口对应的 PID： netstat -ano | findstr “port”
b、查看进程对应的 PID：任务管理器–查看–选择列–PID 或者 tasklist | findstr “PID”
2、检查异常进程(进程路径是否合法、没有签名验证没有描述信息的进程、进程的属性)
①Win+R 打开运行 输入 msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程 ID、文件创建日期、启动时间等。

②利用D盾工具、Process Explorer等工具进行排查
③查看进程对应的程序位置：运行输入 wmic，cmd界面 输入 process
三、检查启动项、计划任务、服务
1、检查服务是否有异常的启动项
①Win+R 打开运行 输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

②Win+R 打开运行 输入 regedit，打开注册表，查看开机启动项是否正常
③利用安全软件查看启动项、开机时间管理等，任务管理器查看内存、CPU使用等
2、检查计划任务
①单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路
②Win+R 打开运行 输入 cmd，然后输入schtasks.exe，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。
3、检查服务自启动
Win+R 打开运行 输入 services.msc，注意服务状态和启动类型，检查是否有异常服务。

四、检查系统相关信息
1、查看系统版本以及补丁信息
Win+R 打开运行，输入 systeminfo，查看系统信息
2、查找可疑目录及文件
①查看用户目录，是否有新建的用户目录
②分析最近打开的可疑文件，在服务器的各个目录查找可疑文件
五、自动化查杀：
1、病毒查杀
使用安全软件更新病毒库，进行全盘扫描
2、webshell查杀
选择具体站点路径进行webshell查杀，可使用两种查杀工具同时查杀
六、日志分析：
1、系统日志
①、开启审核策略，遭遇攻击时可疑查看系统的日志文件，排查故障，追查入侵者信息等。
②、Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。导出应用程序日志、安全日志、系统日志，利用 Log Parser 进行分析
2、web访问日志
找到中间件的web日志，打包到本地进行分析
七、对系统进行防御加固
定期全盘扫描、备份重要文件、升级病毒库、及时更新web漏洞补丁，升级web组件等。